Кибертеррористы Velvet Tempest связывают атаки Termite с методами ClickFix и бэкдором CastleRAT
Исследователи кибербезопасности обнаружили прямую связь между вторжениями с использованием вымогателя Termite и изощренной цепочкой атак, применяющей метод "ClickFix" и бэкдор CastleRAT. Группа угроз, отслеживаемая как Velvet Tempest (также известная как DEV-0504), была замечена в развертывании этих инструментов после первоначальной компрометации сети. Эта группа имеет долгую историю как аффилиат с программами-вымогателями, связанная за последние пять лет с такими крупными семействами, как Ryuk, REvil, Conti и BlackCat/ALPHV.
Методология атаки была задокументирована аналитиками компании MalBeacon, наблюдавшими за деятельностью группы в эмулированной среде американской некоммерческой организации в течение 12 дней февраля. После получения доступа злоумышленники выполнили обширные ручные операции, включая разведку в Active Directory и обнаружение хостов. Ключевой частью их операции стало использование скрипта PowerShell для сбора учетных данных, хранящихся в браузере Chrome.
Этот скрипт для хищения учетных данных был размещен на IP-адресе, который исследователи напрямую связали с инфраструктурой подготовки инструментов, используемой в кампаниях Termite. Затем злоумышленники применили технику ClickFix, которая злоупотребляет легитимными утилитами Windows, для развертывания вредоносной программы DonutLoader. Этот загрузчик впоследствии устанавливает трояна удаленного доступа CastleRAT, обеспечивая постоянный бэкдор и прокладывая путь для потенциального развертывания вымогателя.
Эти данные подчеркивают эволюцию тактики устоявшихся аффилиатов с вымогателями, которые продолжают совершенствовать свои инструменты для пост-эксплуатации. Связывая конкретные инструменты и инфраструктуру с группой Velvet Tempest, команды безопасности могут более эффективно защищаться от этой угрозы. Использование легитимных системных бинарных файлов, таких как PowerShell, для кражи учетных данных и развертывание специализированного трояна подчеркивают необходимость надежного обнаружения на конечных точках и мониторинга необычной административной активности.
Эксперты призывают организации усилить мониторинг активности в Active Directory, обратить особое внимание на аномальное использование PowerShell и внедрить строгие правила контроля за учетными данными, чтобы противостоять подобным сложным цепочкам атак, которые становятся все более распространенными.
